Angriff auf den Bundestag – Dr. Phillip W. Brunst

Die Meldungen über staatliche Angriffe gegen staatliche Institutionen häufen sich momentan. So sollen Hacker sensible Unterlagen der U.S.-Regierung erlangt haben. Darunter sollen auch sensible Informationen aus Sicherheitsüberprüfungen gewesen sein. Auch deutsche Institutionen sind vor derartigen Angriffen aber nicht gefeit, wie der aktuelle Angriff auf den Deutschen Bundestag zeigt.

Entdeckung

Am 08.05.2015 soll ein Server der Bundestagsverwaltung wegen Überlastung zusammengebrochen sein. Die Untersuchung soll schnell auf einen Hacking-Angriff hingedeutet haben. Wenige Tage später soll auch beim Bundesamt für Verfassungsschutz (BfV) der Angriff bemerkt worden sein, weil ein verdächtiger Server im Ausland routinemäßig beobachtet wurde. Beiden Seiten dürfte schnell klar gewesen sein, dass es sich nicht um einen der üblichen Standard-Trojaner-Angriffe, sondern um einen planmäßig und raffiniert vorgehenden Täter handelt, der am ehesten einer staatlichen Organisation zuzuordnen sein dürfte. Dies sollen auch drei Computer-Forensiker bestätigt haben, die das BSI entsandt hat sowie Mitarbeiter einer privaten Forensik-Unternehmens. In einer Sitzung am 21.05.2015 Sitzung am 21.05.2015 hat BSI-Präsident Hange der IuK-Kommission des Deutschen Bundestages Bericht erstattet. Der vorliegende Angriff sei herausragend und nur vergleichbar mit etwa 5-10 von über 3.000 (ansonsten offenbar eher harmlosen) Angriffen auf das Netzwerk. Die Frage nach dem Täter – insbesondere ob es sich um Spionageaktivitäten aus Russland handelt – blieb bei der Sitzung am 21.05. offenbar unbeantwortet. Dies erstaunt nicht wirklich: IT-Angriffe lassen sich leicht verschleiern; Daten können beinahe beliebig so umgeleitet werden, dass sie aus bestimmten Regionen der Erde zu stammen scheinen. Täter nutzen derartige Techniken mitunter, um die (zumindest Erst-) Verantwortung anderen zuzuschreiben und die Ermittlung zu erschweren. Insbesondere gestaltet sich die Amts- und Rechtshilfe bei IT-Delikten mit russischen Behörden eher schwierig und langwierig. Ob der Täter daher wirklich auf russischer Seite zu suchen ist, muss sich daher erst noch zeigen.

Schäden

Unbestritten scheint aber zu sein, dass der Trojaner gewaltige Schäden angerichtet hat. Er konnte tief in das Netz des Bundestages eindringen. Selbst das interne „Parlamentarische Informations- und Kommunikationssystem” – kurz PARLAKOM – soll betroffen sein. Zudem konnten die Täter Administratorenzugriffe für die gesamte Infrastruktur erlangen und hatten “prinzipiell Zugriff auf alle Zugangsdaten der Fraktionen”, so die Aussage in der Sitzung am 21.05.2015. BSI-Präsident Hange bezeichnete das Netz des Bundestages dort als “großflächig und umfangreich kompromittiert.” Hinweise, dass sensible Bereiche wie PKGr, NSA-Untersuchungsausschuss o.ä. durch den Angriff direkt betroffen sind, habe man (noch) nicht, man könne dies aber auch nicht ausschließen. Zum Teil wurde behauptet, es handele sich um einen “Totalschaden” für die IT im Deutschen Bundestag. Wenn es stimmt, dass die Täter Administratorrechte erlangt haben, sind die Folgen noch unabsehbar. Zum Teil wird mit Verweis auf die Edathy-Affäre befürchtet, kompromittierendes Material über Abgeordnete des Deutschen Bundestages könnte in die Hände ausländischer Nachrichtendienste gelangt sein. Zumindest aber der Abfluss vertraulicher Kommunikation dürfte dann kaum auszuschließen sein. Zudem wäre es mit Hilfe von Administratorzugängen möglich, auch die Spuren so zu verwischen, dass nicht mehr nachvollzogen werden kann, was die Täter genau gemacht haben und auf welche Daten sie zugegriffen haben. Ob daher tatsächlich nur 15 Rechner unmittelbar betroffen sind, wird sich dann erst noch zeigen müssen.

Aufklärung? Fehlanzeige.

Normalerweise sollten bei einem derart schwerwiegenden Eingriff mehrere Maßnahmen ineinandergreifen. Zeit ist dabei der größte Feind, denn je länger die Maßnahmen dauern, desto größer die Gefahr, dass Spuren beseitigt und weitere Rechner kompromittiert werden. Was also wäre klassischerweise zu tun, wenn beispielsweise ein Unternehmen betroffen wäre? Erstens sollten die betroffenen Rechner bzw. das Netz so isoliert werden, dass keine weiteren Datenabflüsse mehr möglich sind. Dies dient dem Schutz vor einem unkontrollierten Datenabfluss. Auch soll der Täter keinen Zugriff mehr auf seinen Trojaner haben – er könnte z.B. Spuren verwischen, Fernlöschungen veranlassen u.v.m. Wer nun meint, dass bei einem derartigen Angriff die Rechner des Parlaments vom Netz genommen wurden, der irrt. Nach wie vor, das heißt vier Wochen nach Entdeckung des Angriffs, ist sowohl das Bundestagsnetz als auch der Trojaner aktiv, lediglich einige Dienste werden über das IVBB-Netz der Bundesregierung geroutet. Zweitens sollten die Polizei bzw. Spezialisten eingeschaltet werden, um Spuren zu sichern und eine weitere Analyse der Angriffsmuster zu entdecken. Dies wird ohnehin dadurch erschwert, dass im Bundestag Verkehrsdaten nur sieben Tage lang gespeichert werden und damit Hin- und Nachweise zum Vorgehen der Täter äußert flüchtig sind. Der Bundestag scheint hingegen der Auffassung zu sein, besser als alle anderen Behörden arbeiten zu können. Das BSI ist lediglich mit beratender Funktion hinzugezogen worden. Offenbar gibt es im Parlament Vorbehalte, dem BSI weitergehende Zugriffe zu erlauben. Begründet wird dies mit “verfassungsrechtlichen Bedenken” und vor allem mit der Vorgängergeschichte des BSI: Dieses ist ursprünglich aus dem Bundesnachrichtendienst hervorgegangen. Dies ist allerdings schon viele Jahre her: Die Vorgängerbehörde der “Zentralstelle für Sicherheit in der Informationstechnik” (ZSI) war dem Bundesnachrichtendienst unterstellt. Das BSI ist bereits im Jahr 1991 gegründet worden und hat diese Funktion von dort übernommen. Die Verflechtung mit dem BND ist also bereits über 20 Jahre her. Auch dem BKA sind offenbar bisher Ermittlungen nicht gestattet worden, denn der Bundestag habe seine eigene Polizei. Das BKA sei daher bislang nicht kontaktiert worden. Drittens sollten in einem Fall wie diesem der Verfassungsschutz eingeschaltet werden. Der Verfassungsschutz ist in Deutschland die Behörde, die für die Erkennung, Aufdeckung und Abwehr von Spionagefällen zuständig ist. Auch hier sind aber die politischen Berührungsängste offenbar größer als die fachliche Fähigkeiten. Das BfV sollte nicht tätig werden, da es der parlamentarischen Kontrolle unterliege. Es könne nicht angehen, dass eine vom Parlament kontrollierte Behörde eben jenes Parlament kontrolliere. Zwischenzeitlich soll das BfV zumindest die weiteren Untersuchungen “begleiten”. Dabei soll es aber ausdrücklich “nicht innerhalb des IT-Systems tätig” werden, dies schließt die Abgeordnetenbüros, Fraktionen und Verwaltung mit ein. Viertens müssen die Mitarbeiter im betroffenen Unternehmen unterrichtet werden. Häufig herrscht beim Bekanntwerden einer Attacke große Verunsicherung: niemand weiß, wer und welche Daten betroffen sind, was zu tun ist oder was schon veranlasst wurde. Auch hier tut sich der Bundestag offenbar reichlich schwer. Fraktionsübergreifend beschweren sich viele Abgeordnete, dass sie von Seiten der Bundestagsverwaltung so gut wie überhaupt nicht informiert werden. Nicht einmal Sicherheitshinweise sind offenbar verteilt worden.

Bewertung

Es mutet schon abenteuerlich an, was gegenwärtig im Bundestag passiert. Da ereignet sich offenbar der schwerste Cyber-Angriff in der Geschichte des deutschen Parlaments (peinlicherweise zeitgleich mit dem Beschluss des IT-Sicherheitsgesetzes) und mit geradezu verzweifelt anmutender Behäbigkeit sollen alle kompetenten Behörden außenvorgelassen werden: Die Polizei soll nicht ermitteln, das BSI möglichst nur beraten und das BfV am besten von außen zuschauen. Gleichzeitig ist der Trojaner offenbar immer noch aktiv, Datenabflüsse sind noch nicht aufgeklärt und finden möglicherweise immer noch statt. In jedem größeren deutschen Unternehmen wäre unter diesen Vorzeichen der Vorstand rausgeworfen worden – und dies vollkommen zu recht. Selbst Abgeordnete bezeichnen das aktuelle Geschehen als “erschreckende Hilflosigkeit” und “gefährliche Naivität”. Im Bundestag geht derweil der Alltag weiter, als ob nichts geschehen wäre. Vereinzelt wird die Schuld bei der Bundesregierung gesucht. Diese habe in den letzten Jahren das Cyberabwehrzentrum eingerichtet und es personell nicht ausreichend ausgestattet. Das ist zwar richtig, hat aber mit der Sache nichts zu tun: Im BfV, das im Cyberabwehrzentrum vertreten ist, ist der Angriff immerhin rechtzeitig erkannt worden. Während die Bundesregierung zudem mit dem Informationsverbund Berlin-Bonn (IVBB) auf ein abgesichertes Regierungsnetz setzt (das angeblich den Angriff auch rechtzeitig hätte abwehren können) besteht der Bundestag auf einem eigenen Netz, das er selbst pflegt. Das kann man mit Verweis auf die Funktion des Deutschen Bundestages als Kontrolleur der Bundesregierung für richtig halten, in technischer Hinsicht ist dieses Verfahren, das mit einer Duplizierung aller Sicherheitsmaßnahmen einhergehen müsste, allerdings fragwürdig. Außerdem bleibt festzuhalten: Wenn die zuständigen Behörden nicht zum Ort des Geschehens zugelassen werden, dann können sie auch nichts gegen einen Cyberangriff unternehmen. Auch aus diesem Grund geht der Vorwurf fehl, die Bundesregierung habe die IT-Probleme “verschnarcht”. Im Moment muss sich daher nur der Bundestag, der in Punkto IT-Sicherheit ohnehin nicht den besten Ruf hat, an seine Nase fassen und die Frage gefallen lassen, ob er bislang nicht alles falsch gemacht hat, was man bei einem derartigen Vorfall falsch machen kann.